Archiefbestanden streven Office-documenten voorbij als schadelijkst bestandstype  

HP Inc. (NYSE: HPQ) heeft zijn HP Wolf Security Threat Insights Report voor het derde kwartaal gepubliceerd. Daaruit blijkt dat archiefbestanden – zoals ZIP- en RAR-bestanden – het meest gebruikte bestandstype zijn voor het afleveren van malware en voor het eerst in drie jaar tijd Office-bestanden voorbijstreven. Het rapport bevat een analyse van cyberaanvallen en helpt organisaties op de hoogte te blijven van de nieuwste technieken die cybercriminelen gebruiken om detectie te omzeilen en inbreuk te maken op gebruikers in het snel veranderende cybercrime landschap.

Op basis van gegevens van miljoenen endpoints met HP Wolf Security bleek uit het onderzoek dat 44% van de malware werd afgeleverd in archiefbestanden – een stijging van 11% ten opzichte van het vorige kwartaal – vergeleken met 32% afgeleverd via Office-bestanden zoals Microsoft Word, Excel en PowerPoint 1.

In het rapport worden verschillende methodes geïdentificeerd die het gebruik van archiefbestanden combineerden met nieuwe HTML-smuggling technieken. Hierbij sluiten cybercriminelen schadelijke archiefbestanden in HTML-bestanden in om e-mailgateways te omzeilen – om vervolgens aanvallen uit te voeren.

Recente QakBot- en IceID-campagnes gebruikten bijvoorbeeld HTML-bestanden om gebruikers naar valse online documentviewers te leiden die zich voordeden als Adobe. Gebruikers werden vervolgens geïnstrueerd een ZIP-bestand te openen en een wachtwoord in te voeren om de bestanden uit te pakken, waarna malware op hun pc’s werd geplaatst.

Aangezien de malware in het oorspronkelijke HTML-bestand is gecodeerd en versleuteld, is detectie door e-mailgateways of andere beveiligingsprogramma’s zeer moeilijk. In plaats daarvan vertrouwt de aanvaller op social engineering, waarbij hij een overtuigende en goed ontworpen webpagina maakt om mensen ertoe te bewegen de aanval in te zetten door het schadelijke ZIP-bestand te openen. In oktober werd vastgesteld dat dezelfde aanvallers ook gebruik maakten van valse Google Drive-pagina’s in een voortdurende poging om gebruikers te verleiden tot het openen van schadelijke ZIP-bestanden.

“Archieven zijn gemakkelijk te versleutelen, waardoor aanvallers malware kunnen verbergen en webproxies, sandboxes of e-mailscanners kunnen omzeilen. Dit maakt aanvallen moeilijk te detecteren, vooral in combinatie met HTML-smuggling technieken. Wat interessant was aan de QakBot- en IceID-campagnes was de moeite die werd gestoken in het creëren van de neppagina’s. Deze campagnes waren overtuigender dan wat we eerder hebben gezien, waardoor het voor mensen moeilijk is om te weten welke bestanden ze wel en niet kunnen vertrouwen,” verklaart Alex Holland, Senior Malware Analyst, HP Wolf Security threat research team, HP Inc.

HP identificeerde ook een complexe campagne met een modulaire infectieketen, waardoor aanvallers mogelijk de payload – zoals spyware, ransomware, keylogger – halverwege de campagne kunnen wijzigen of nieuwe functies inzetten, zoals geo-fencing. Dit zou een aanvaller in staat kunnen stellen om van tactiek te veranderen, afhankelijk van het doelwit dat hij heeft gekraakt. Door malware niet rechtstreeks in de bijlage die naar het doelwit wordt gestuurd toe te voegen, is het ook moeilijker voor e-mailgateways om dit soort aanvallen te detecteren.

“Zoals blijkt, veranderen aanvallers voortdurend van tactiek, waardoor het voor detectietools erg moeilijk is om deze te ontdekken”, zegt dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc. “Door het Zero Trust-principe van fijnmazige isolatie te volgen, kunnen organisaties micro-virtualisatie gebruiken om ervoor te zorgen dat potentieel schadelijke taken – zoals het klikken op links of het openen van kwaadaardige bijlagen – worden uitgevoerd in een virtuele machine voor eenmalig gebruik, gescheiden van de onderliggende systemen. Dit proces is volledig onzichtbaar voor de gebruiker en vangt alle verborgen malware op, zodat aanvallers geen toegang hebben tot gevoelige gegevens en niet in staat zijn om toegang te krijgen en zich later te verplaatsen.”

HP Wolf Security voert risicovolle taken zoals het openen van e-mailbijlagen, het downloaden van bestanden en het klikken op links uit in geïsoleerde micro-virtuele machines (micro-VM’s) om gebruikers te beschermen, waarbij gedetailleerde sporen van pogingen tot infectie worden vastgelegd. HP’s technologie voor applicatie-isolatie beperkt bedreigingen die langs andere beveiligingstools kunnen glippen en biedt unieke inzichten in nieuwe inbraaktechnieken en het gedrag van aanvallers. Door aanvallen te isoleren op pc’s die detectietools hebben ontweken, heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die door cybercriminelen worden gebruikt. Tot nu toe hebben HP klanten op meer dan 18 miljard e-mailbijlagen, webpagina’s en gedownloade bestanden geklikt zonder dat hiervan inbreuken zijn gemeld.

Gerelateerde berichten...

X